Par une décision du 13 avril 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société ALLOCAB en raison de la persistance du manquement à plusieurs de ses obligations imposées par la loi Informatique et Libertés. Amira Bounedjoum, avocat département IP/IT du cabinet SIMON ASSOCIES, décrypte la décision.
LES FAITS
La société ALLOCAB, société spécialisée dans le transport de particuliers, a fait l’objet d’une plainte adressée à la CNIL, le 16 janvier 2015, par un client de la société. Ce dernier s’est notamment plaint de la conservation de ses coordonnées bancaires lors du paiement de ses réservations en ligne. Suite à cette plainte, une mission de contrôle sur place a été diligentée au sein des locaux de la société ALLOCAB. A cette occasion, de nombreux manquements à la loi Informatique et Libertés ont été constatés.
LES MANQUEMENTS CONSTATÉS
Manquement à l’obligation de déterminer une durée de conservation adéquate
L’article 6-5° de la loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Au cas particulier, la CNIL a constaté, lors du contrôle sur place, qu’ALLOCAB conservait l’ensemble des données pendant une période excessivement longue. Elle conservait par exemple l’ensemble des données de comptes inactifs depuis quinze mois ou plus.
La société conservait, en outre, les données relatives au cryptogramme des cartes bancaires des utilisateurs après la transaction.
Elle a ainsi été mise en demeure de définir une durée de conservation des données présentes en base, en fonction des finalités pour lesquelles elles sont collectées et, en particulier, veiller à ce que les données relatives au cryptogramme ne soient pas conservées au-delà du temps nécessaire à la réalisation de la transaction ainsi que procéder à la purge des données des clients ayant demandé la suppression de leurs comptes.
En défense, la société a soulevé le fait que la conservation de ces données était notamment dû à une contrainte technique imposée par son prestataire de paiement.
Restée un temps inactive et n’ayant donné suite à un courrier complémentaire de la présidente de la CNIL, la société a finalement produit un constat d’huissier – postérieur à l’échéance du délai imparti par la mise en demeure – démontrant qu’elle s’était conformée aux demandes de la CNIL.
Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de conserver les données pendant une durée proportionnelle à la finalité poursuivie était caractérisé.
Manquement à l’obligation d’assurer la sécurité des données
L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Lors du contrôle de la CNIL, la Commission a constaté que les mots de passe des utilisateurs étaient communiqués en clair lors de la procédure de confirmation.
Une telle communication du mot de passe constitue une atteinte à la confidentialité de celui-ci.
En outre, il a été constaté que le système d’information d’ALLOCAB acceptait des mots de passe composés d’un seul caractère.
Dès lors, la CNIL a mis en demeure ALLOCAB de mettre en place les mesures suivantes afin de remédier à ce manquement :
- modifier la procédure de confirmation du mot de passe des utilisateurs pour qu’il ne soit plus communiqué en clair. La CNIL a proposé d’envoyer par courrier électronique soit un mot de passe aléatoire qui ne serait utilisable qu’une seule fois, soit un lien vers une page permettant de définir un nouveau mot de passe ;
- mettre en place un mécanisme de hachage des mots de passe stockés en base de données couplé à l’utilisation d’un sel qui devra faire l’objet d’un stockage sur un espace distinct de celui dans lequel sont stockés les mots de passe ;
- imposer, pour chaque mot de passe, une robustesse suffisante.
Le constat d’huissier produit par ALLOCAB attestait du fait qu’elle s’était également conformée aux demandes de la CNIL sur ce point.
Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de sécurité était caractérisé.
LA DECISION DE LA CNIL
A l’issue de son instruction, le rapporteur a fait part de ses observations le 13 janvier 2017. Son rapport détaillait les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce et proposait à la CNIL de prononcer une sanction pécuniaire de 50 000 euros, rendue publique.
Considérant que les manquements aux articles 6-5° et 34 de la loi Informatique et Libertés ont persisté au-delà de l’échéance du délai imparti par la mise en demeure, et tenant compte du fait que la société s’était depuis mise en conformité, la formation restreinte de la CNIL a prononcé, à l’encontre de la société ALLOCAB, une sanction d’un montant de 15 000 euros et a décidé de rendre publique sa décision afin de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés et, en particulier, à l’importance de répondre aux demandes de la présidente de la CNIL.